Como configurar uma pequena rede de computadores em uma rede universitária maior?

8

Eu tenho um pequeno laboratório de informática (8 estações de trabalho HP, 1 servidor HP, 2 caixas NAS, 1 impressora em rede HP) onde atualmente todos os dispositivos estão conectados diretamente à rede da minha universidade. Cada dispositivo tem um endereço IP alocado pela rede via DHCP (mas me disseram que eles estão efetivamente vinculados aos endereços MAC por um longo período de tempo, para que o dispositivo obtenha o mesmo IP sempre que for ligado), e eu tive nomes de host atribuídos a cada dispositivo, gerenciados pelo servidor DNS da universidade.

O problema que tenho é que, uma vez conectados à rede da universidade, os dispositivos estão abertos a qualquer pessoa na internet; não há firewall em todo o campus, por exemplo. Gostaria de isolar alguns ou todos esses dispositivos da Internet para poder controlar quais portas / serviços nesses dispositivos são acessíveis na universidade (por exemplo, meus colegas querem imprimir ou armazenar / acessar dados do NAS caixas) e acessíveis além da rede da universidade. Todos os dispositivos que mencionei estão no mesmo local físico (a sala de um computador), mas minha estação de trabalho está em uma sala separada e eu quero acessar cada um dos dispositivos para administração.

As estações de trabalho estão todas (ou estarão) executando o Scientific Linux. As caixas NAS são produtos Synology executando seu próprio sistema operacional.

Como devo configurar esta mini-rede? Faria sentido colocar todos os dispositivos atrás de um roteador? Se eu fizer isso, ainda será possível conectar a cada dispositivo pelos nomes de host que foram configurados (digamos, da minha estação de trabalho que não estará atrás do roteador) e, se estiver, o que eu preciso configurar para fazer isso acontecer?

Gavin Simpson
fonte
4
"não há firewall em todo o campus" - acho isso muito, muito difícil de acreditar. Você confirmou isso com a equipe de TI da universidade?
Joeqwerty 04/04
6
Esta pergunta parece estar fora de tópico porque precisa ser feita à equipe de TI da sua universidade.
EEAA
2
Em seguida, peça a eles um firewall. Será divertido para eles, sendo a primeira vez que eles usam um e todos.
mfinni
3
Alguém poderia explicar por que isso é OT ou o que eu preciso fazer para torná-lo no tópico? Como eu respondeu a @EEAA anteriormente, eu abordou esta questão a minha universidade suporte de TI eo acima é o "conselho" I foram fornecidos com. Cabe a mim usar esse conselho. Como a resposta abaixo sugere, o suporte de TI em muitas instituições acadêmicas não está em condições de fornecer ajuda individual por várias razões, geralmente financeiras. Portanto, somos deixados à nossa própria sorte. Com prazer, melhorarei o Q, se puder, mas até agora ninguém disse o que há de errado, exceto a suposição de que não havia solicitado suporte de TI.
Gavin Simpson
4
Sim, um roteador também costuma ser capaz de fazer firewall e vice-versa; portanto, os termos às vezes são usados ​​de forma intercambiável. Isso pode ser qualquer coisa, desde um roteador doméstico reconfigurado de US $ 20 (mas faça um favor a si mesmo e não fique tão barato assim) até um Cisco de US $ 15.000, algo assim. Ou US $ 150.000. Provavelmente em algum lugar do Cisco ASA 55xx é onde você deseja estar. Seja o que for, lembre-se de desativar o NAT.
Michael Hampton

Respostas:

5

Para acompanhar o que @KatherineVillyard disse, se você precisar acessar seu NAS ou outros sistemas do campus em geral, aqui está o que eu faria:

Conexões do campus

Converse com quem gerencia o roteador do campus e peça que ele reserve um bloco de 256 endereços IP, que chamarei de ABC0 / 24. Os valores de A, B e C são específicos para o seu campus. Se você não conseguir obter 256 endereços, viverá, mas terá pelo menos 16. Blocos reservados menores alterarão 0 e / 24 para números diferentes, até / 28 se você tiver apenas 16 IPs alocados.

Eles também precisarão configurar vários roteadores do campus para rotear seu bloco reservado através de um endereço IP específico em um bloco de rede diferente (como aquele que já chega à sua sala).

Se você não conseguir reservar um bloco de endereços, será mais difícil tornar seu NAS acessível a partir do restante do campus, mas todo o resto funcionará bem de dentro da rede para o mundo externo. Certamente não é impossível, mas pode não valer a pena o esforço extra. Tente o máximo possível para obter o bloco de endereços - pode ser necessário conversar com algumas pessoas diferentes, se a primeira não entender o que você precisa.

Se você tiver um bloco de endereços reservados, precisará registrar o endereço de rede e a máscara de rede do bloco e também o IP externo pelo qual o bloco será roteado. Se você não recebeu um bloco de endereços reservados, provavelmente vai acabar usando um roteador / firewall doméstico e pode usar as configurações que tiver por padrão.

Se é realmente fácil trabalhar com a TI do campus, você também pode solicitar um subdomínio DNS delegado para o seu laboratório. Algo como gavinslab.campus.edu. Realmente não é crítico se eles não fornecerem isso a você, mas é conveniente.

Fisica

Se você pediu para a TI do campus reservar um bloco de endereços, encontre um PC antigo no qual você possa instalar três interfaces de rede. Ele não precisa ser poderoso. Eu direcionei o tráfego de 100 Mbit sobre um Pentium original e gigabit sobre um Pentium III. Eu realmente não testei os limites inferiores, apenas trabalhei com o que estava facilmente disponível.

Se a TI do campus não conseguir alocar um bloco de endereços, basta adquirir um roteador / firewall doméstico.

Em seguida, pegue os switches Gigabit Ethernet de algum lugar. Um switch de escritório em casa deve ser suficiente, desde que tenha portas suficientes. Se você conseguiu que a TI alocasse um bloco de endereços, obtenha dois comutadores. Rotule um switch "DMZ" e o outro "Internal". Se eles não alocaram um bloco de endereços para você, use apenas uma opção.

Roteamento / Firewall (assumindo que não há bloqueio de rede alocado)

Se você não obteve um bloco de endereços, basta conectar o roteador doméstico com a interface de rede externa conectada ao campus e uma interface de rede interna conectada ao seu switch de gigabit. Trate a sala como uma rede doméstica, onde você pode acessar o campus e o mundo exterior sem problemas, mas o campus e o mundo externo terão dificuldade em voltar para você.

Roteamento / Firewall (com um bloco de rede alocado)

Se você obteve um bloco de endereços, conecte a interface de rede integrada do PC antigo à rede do campus. Eu normalmente instalaria o Debian nele.

Posteriormente, instalava a segunda e a terceira placas de rede e usava meu tarball de inicialização do firewall para configurar o firewall, DNS, DHCP e outros serviços críticos (superamos esse script em uma classe que sou laboratórios em execução, mas testes e feedback mais amplos são bem-vindos). Se você tiver a experiência, sinta-se à vontade para fazer outra coisa equivalente.

Tudo o resto (com um bloco de rede alocado)

Conecte um comutador ligado a uma das interfaces de rede adicionais no firewall. Verifique as mensagens do kernel para ver qual interface Ethernet acabou de aparecer. Se você estiver usando meu script, verifique se o comutador Interno está no eth1 e o comutador DMZ está no eth2.

Conecte os sistemas que precisam ser acessíveis diretamente de fora da sala ao comutador DMZ. Conecte todos os outros sistemas ao comutador interno.

E a partir daí, honestamente, você precisará fazer mais perguntas, conforme necessário. Confio no meu script para definir uma configuração de DNS e DHCP para os dois segmentos de rede e bloquear conexões externas por padrão. Mas todo o resto tende a ser específico do site.

Mike Renfro
fonte
10

Antes de tudo, como fugitivo da academia, você tem minhas sinceras condolências. Ao contrário dos comentadores acima, não tenho nenhum problema em acreditar que você não tem firewall no campus.

A maneira mais simples e elegante de fazer isso seria, infelizmente, ter um firewall do campus. A próxima melhor solução, dependendo de quem você deseja ter acesso ao seu laboratório, seria ter algum tipo de firewall de departamento em que todos que precisassem de acesso estivessem dentro do referido firewall de departamento.

Se você não puder fazer nenhum desses - e eu receio que não - provavelmente será necessário configurar um firewall com "allow from [campus ip range] / negy from other other." Se você deseja acessar essas máquinas de fora desse firewall, provavelmente precisará usar os números roteáveis ​​de seus campi.

E como você disse no seu comentário:

Obrigado, por isso, se eu usar meu próprio firewall, eu configuro cada dispositivo individual que mencionei de acordo (iptables no Linux) ou tenho que providenciar para que o tráfego desses dispositivos passe por um dispositivo de firewall separado.

Corrigir. Eu provavelmente levantaria minhas mãos em desespero e usaria o iptables, mas alguém pode ter uma resposta melhor para você.

Por fim, eu só queria confirmar que isso:

Cada dispositivo tem um endereço IP alocado pela rede via DHCP (mas me disseram que eles estão efetivamente vinculados aos endereços MAC por um longo período de tempo, para que o dispositivo obtenha o mesmo IP sempre que for ligado), e eu tive nomes de host atribuídos a cada dispositivo, gerenciados pelo servidor DNS da universidade.

significa que você tem uma reserva DHCP estática. Caso contrário, o servidor DNS da universidade precisará ser atualizado se esses números mudarem.

Boa sorte!

Katherine Villyard
fonte
1
Para esclarecer, pelo que foi informado por várias pessoas, a provisão DHCP de endereços IP para os endereços MAC que forneci não é permanente, mas a concessão não expira por meses e meses. Como isso se relaciona com o que eles estão fazendo no DNS para essas mesmas máquinas, eu não sei. Mais uma coisa a esclarecer. Obrigado pelos outros comentários também.
Gavin Simpson
Eles estão usando esse número que pode expirar em meses para o DNS, portanto, é possível que as pessoas não consigam acessar seus vários dispositivos aleatoriamente em alguns meses quando você se esquecer disso. Algo a ter em mente.
Katherine Villyard